News

GDPR Privacy

Road To GDPR Compliance: accountability e risk management

Con questa nuova collana di articoli denominata “Road to GDPR Compliance”, affronteremo i principi e le tematiche più importanti della normativa privacy europea, per comprendere -anche con esempi concreti- cosa devono fare le aziende per conformarsi ad essa.

In questa prima parte ci soffermeremo su due principi cardine: il principio di accountability e l’approccio risk-based che permea l’intera normativa.

Prima, però, una breve premessa.

Il percorso legislativo di adozione del GDPR è iniziato ormai qualche anno fa, già il 4 novembre 2010, quando la Commissione europea ha elaborato una proposta di riforma della normativa in materia di protezione dei dati personali con i seguenti obiettivi: 

  • armonizzare ed uniformare la normativa a livello europeo, creando un quadro legislativo comune in modo da evitare di far fronte a normative differenti in ciascuno stato membro; 
  • adeguare la normativa alle nuove tecnologie (social network, cloud computing, app web e mobile, big data, etc.) e alla velocità di evoluzione della tecnologia;
  • tutelare i diritti delle persone che si trovano nella UE, nel contesto globale della digital economy (ecco spieagata l’applicazione del GDPR anche nei confronti delle big tech statunitensi, che fornendo servizi ai cittadini europei, sono chiamate a rispettare la normativa).  

Il GDPR è entrato in vigore il 24 maggio 2016 ed è diventato direttamente applicabile in tutti gli stati dell’Unione Europea a partire dal 25 maggio 2018, trattandosi appunto di un Regolamento Europeo. 

Perché si parla di nuovo approccio c.d. risk based?

Il GDPR, infatti, non dice “cosa fare”, non contiene una serie di prescrizioni da attuare, ma obiettivi da raggiungere, risultati da perseguire, principi da rispettare, applicando gli strumenti che si ritengono più opportuni in un determinato contesto. 

Viene introdotto un nuovo approccio metodologico, risk-based, basato sulla protezione dei dati dell’utente e sull’effettivo rischio per ogni azienda. 

La protezione dei dati personali deve essere, pertanto, calata all’interno dei processi e dell’organizzazione aziendale, non più come elemento/adempimento successivo, ma presupposto da considerare già nella fase di progettazione dei processi, servizi, prodotti o applicativi (c.d. «privacy by design» – se vuoi approfondire leggi qui trovi un nostro approfondimento).

Nella sostanza, si passa da un sistema di tipo formalistico (basato sulla previsione di regole formali e su un elenco di adempimenti e misure minime da adottare), ad un sistema di governance dei dati personali basato su un’alta responsabilizzazione sostanziale («accountability») del titolare del trattamento. 

A questi è richiesta proattività, cioè di prevenire e non correggere, nonché di dimostrare, tramite l’elaborazione di un idoneo sistema documentale di gestione della privacy (che includa l’adozione di specifici modelli organizzativi, analoghi a quelli utilizzati nell’applicazione della 231, e di appropriate policy interne, da esibire in caso di richiesta da parte dell’Autorità), la conformità al GDPR e l’adeguatezza delle proprie scelte e valutazioni.  

I dati sulle sanzioni per violazioni di dati personali mostrano un netto incremento negli ultimi anni dopo l'applicazione del GDPR (da Maggio 2018)

Che cosa si intende per “accountability”?

La maggiore discrezionalità per i titolari di decidere le modalità attraverso le quali conformarsi alle sue disposizioni è gravata dall’onere di essere in grado di dimostrare le ragioni che hanno portato a tali decisioni e le motivazioni alla base delle scelte 

Il titolare deve adottare appropriate policy interne (da esibire in caso di richiesta da parte dell’Autorità) ed attuare un complesso di misure giuridiche, organizzative, tecniche per la protezione dei dati personali, elaborare un idoneo sistema documentale di gestione della privacy (che includa l’adozione di specifici modelli organizzativi, analoghi a quelli utilizzati nell’applicazione della 231), in grado di dimostrare la conformità al GDPR e l’adeguatezza delle proprie scelte/valutazioni. 

Il Titolare deve quindi mette in atto misure tecniche ed organizzative adeguate (riesaminate ed aggiornate qualora necessario) per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR (art. 24 GDPR). 

Sarà per esempio necessario essere in grado di documentare il processo che ha portato alla valutazione di un determinato rischio in materia di sicurezza, alla decisione di notificare o meno agli interessati una violazione dei loro dati personali, di aver effettuato in relazione ad un nuovo trattamento le necessarie valutazioni legate alla privacy «by design». 

Il titolare è quindi responsabile del rispetto dei principi privacy e deve essere in grado di dimostrarlo. Quest’ultimo, infatti, tenuto conto della natura, dell’ambito, del contesto, delle finalità e dei rischi connessi al trattamento, deve mettere in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR. Insomma ritorna il tema del rischio: dobbiamo tenere conto del contesto in cui operiamo e dei dati che trattiamo, pertanto i controlli che ne derivano saranno commisurati ad quello specifico rischio.

Ciò implica anche l’adozione di un sistema di gestione della data protection che consenta di gestire nel tempo la compliance. L’azienda non può limitarsi ad una prima attività di adeguamento senza mettere in campo risorse per monitorare e ad aggiornare quanto necessario nel corso del tempo.

Si pensi soltanto al cambiamento di un fornitore per le telecamere di sorveglianza, oppure l’attivazione di una nuova campagna di marketing verso i propri clienti consumatori o anche la pubblicazione di un sito con nuove funzionalità. L’azienda cambia e con essa anche il proprio sistema di gestione dei dati personali.

Un esempio: l’accountability e la valutazione del rischio nella nuova normativa Whistleblowing

A partire dal 15 Luglio 2023, per le grandi aziende (oltre i 250 dipendenti), e poi entro fine anno per le PMI (da 50 a 250 dipendenti), si applicherà il decreto legislativo che ha recepito la nuova direttiva UE n. 2019/1937 in materia di Whistleblowing. 

Le attività richieste obbligatoriamente per conformarsi alla normativa Whistleblowing sono un chiaro esempio dei principi enunciati in precedenza, primo fra tutti quello di accountability.  

Per ottemperare ad esempio sarà certamente necessario:  

  • una Due diligence per la scelta di un fornitore tecnologico, per la gestione interna delle segnalazioni. La nuova normativa è infatti molto attenta ad una serie di misure di sicurezza per garantire la tutela dell’identità̀ del segnalante quali, ad esempio, gli accorgimenti per anonimizzare la segnalazione, per cui le aziende dovranno assicurarsi che il fornitore sia anch’esso conforme. Per rispettare il principio di accountability è raccomandabile tenere traccia della due diligence effettuata, magari con un parere e/o documentazione tecnica che garantisca la conformità.  
  • Procedere con la nomina a responsabile del trattamento -ai sensi dell’art. 28 GDPR- del fornitore tecnologico. Anche questa attività è una rappresentazione plastica del principio di accountability.  
  • Redazione di una valutazione di impatto (obbligatoria per legge), una volta definito il proprio modello di ricezione e gestione delle segnalazioni -fra i 3 disponibili- ai sensi dell’art. 35 GDPR. Questo, invece è un’attività che rientra fra quelle che richiamano il concetto di privacy by design e, più in generale, di un approccio basato sul rischio.  

 Abbiamo quindi elencato alcune delle misure tecniche e organizzative necessarie per essere conformi alla normativa whistleblowing, ma allo stesso utili per dimostrare a terzi la nostra conformità tramite documentazioni e valutazioni del rischio che rendicontano le nostre scelte. Ed è proprio questo il significato di risk management e di accountability.  

Articoli correlati

Garante Privacy e metadati posta elettronica dei dipendenti
Verso un futuro cookieless
Tutte le news